SQL注入之文件读写+魔术引号

1.文件读写注入的目的:

(1)写入一句话木马;

(2)读取系统文件的敏感信息。

2.文件读写注入的条件:

(1)最高权限的用户(root用户)

(2)把“ secure_file_priv ”改为“ secure_file_priv = "" ”。在phpstudy_pro/Extensions/MySQL/

my.ini目录下

3.读取文件

load_file('文件绝对路径')

路径要写“/”或者“\\” 。

 4.写入文件

into outfile('文件绝对路径')        //能写入多行,按格式输出

into dumpfile('文件绝对路径')       //只能写入一行且没有输出格式

 5.魔术引号

自动将进入 PHP 脚本的数据进行转义

在php.ini文件内找到

magic_quotes_gpc = On 开启

将其改为

magic_quotes_gpc = Off 关闭

或者用内置函数

is_int()、addslashes()

 

你可能感兴趣的:(sql,数据库,网络安全,web安全,安全)